數據和隱私安全問題:無法根治
根據雅虎財經的一項調查顯示,在經過一年動蕩的爭議以及公眾對此評價,Facebook(又稱Meta)被冠以年度最差公司。接受調查的人表達了對Facebook的不滿,包括但不限于對審查制度的擔憂,關于instagram對心理健康影響的報道,以及隱私。
主要還是隱私,扎克伯格甚至說,Facebook在今年最后一個季度增長乏力,部分原因在于ATT(應用跟蹤透明化)。
Facebook的隱私安全問題從2018年那場數據門事件一直到現在仍然有“余震”,回顧一下Facebook關于泄露用戶數據事件的歷程:
2018年3月17日,媒體曝光Facebook上超5000萬用戶信息在用戶不知情的情況下,被一家服務特朗普競選團隊的數據公司“劍橋分析”獲取并違規濫用。而Facebook在很多年前就意識到了將自身用戶數據用于研究目的的第三方應用的存在;
2018年3月28日,Facebook宣布今后6個月終止與多家大數據企業合作(包括安客誠、益百利、甲骨文云數據和WPP集團),以更好地保護用戶隱私;
2018年4月5日,Facebook首席官在官網發布聲明目前共有8700位用戶的個人資料泄露給了劍橋分析公司。
在用戶信息泄露之后,一些存檔的數據或者云端沒更改輸出源導致泄露數據仍然會上漲,而且數據泄露對個人的危害也是十分嚴重——會被假冒個人消費、違法犯罪、施以詐騙等。除了Facebook,前段時間國內知名出行APP滴滴也因為存在嚴重違法違規收集使用個人信息問題被下架,但我們使用的APP大部分會要求獲取用戶權限(通訊錄、位置、存儲等)才能使用。
Z時代中使用的5G、云計算、人工智能等技術和應用都以海量數據為基礎打造科技生態,數據量也正呈爆發式增長。據IDC預測,2025年全球數據量將高175ZB。其中,中國數據量增速最為迅猛,預計2025年將增至48.6ZB,占全球數據圈的27.8%,平均每年的增長速度比全球快3%,中國將成為全球最大的數據圈。
而不斷出現的數據安全問題引起了大家的關注,近些年數據安全的問題也越來越受重視。
個人信息怎么泄露的?
我們日常在使用應用程序時,會出現請求獲取權限使用的情況,比如導航類APP會要求獲取用戶的位置信息以定位附近的地圖;攝影類APP會要求獲取相機相冊信息以使用拍攝功能等。而大部分這些信息被應用程序獲取之后,會暫存或一直存在對應APP的一個云端,以便調用。所以個人信息數據通常是主動或被動的方式泄露出去的。
現在各種新應用、新程序層出不窮,使用的基本都會要求獲取用戶權限,而越來越多的移動應用也引起了質量參差不齊、破解篡改現象普遍、分銷渠道混亂等問題。
為什么用戶信息這么容易泄露?
1、目前應用開發的門檻較低。不同于傳統軟件應用,移動應用或者小程序只需要少數人力和時間就能完成開發和投入市場運營,因此現在仍然有許多中小企業和個人開發者涌入市場。但產品質量參差不齊,每年入市的未經第三方權威部門進行安全檢測的應用軟件高達上萬款,因此用戶信息泄露和安全保護問題頻頻發生。
2、正版軟件被大量破解或篡改。國內用戶大部分會在正版產品出現之后尋求“免費破解版”,破解或篡改后夾帶惡意代碼的軟件也能正常安裝。因此根據這個市場需求就出現了許多“免費版”、“破解版”、“通關版”的應用,部分公司為了擴大利潤空間甚至發布夾帶病毒木馬、廣告吸費、后門遙控、隱私竊取等惡意代碼的第三方版本應用,嚴重危害用戶權益。
3、大型企業的數據運維和存儲不當。一些大型公司和上市企業在進行數據管理和數據安全時沒有進行安全監測和漏洞篩查,導致獲取的用戶信息容易被黑客盜取。且部分強制獲取的用戶信息,并沒有得到加密保護,存在一些安全系數不高的文件或者云端中,沒有保障用戶隱私安全。
政策護衛信息安全
不斷爆出的用戶隱私安全問題,也引起了國家政策的注意。據不完全統計,近5年來國家、地方省市以及各行業監管部門關于數據安全、網絡安全已至少頒布52部相關法律法規。
2015年頒布的《國家安全法》將數據安全納入國家安全的范疇。2016年發布,于2017年正式實施的《網絡安全法》引入了網絡數據的概念。圍繞基本法制定的配套法規制度與相關國家規定也在加快制定出臺,包括數據跨境流動、個人信息保護、新技術新應用數據安全等多個方面,部分具體法律法規如下圖。
資料來源:零壹智庫、數據安全治理白皮書
注:該表只列舉了部分法律法規,列舉順序為數據安全相關度優先、重要性優先、時間優先的原則列舉。
除了政策管控數據安全,同時也要求一些應用程序不得強制獲取用戶信息,“未公開收集使用規則”、“未明示收集使用個人信息的目的、方式和范圍”、“未經用戶同意收集使用個人信息”、“違反必要原則,收集與其提供的服務無關的個人信息”皆屬于違規收集用戶信息行為。
同時,國家也在監測移動應用是否存在不合規行為。但目前,國家計算機病毒應急處理中心近期通過互聯網監測發現17款移動應用存在隱私不合規行為,違反網絡安全法、個人信息保護法相關規定,涉嫌超范圍采集個人隱私信息。其中包括哈啰出行、58同城、和訊財道APP等。
我們在不斷解決用戶數據的控制權問題、第三方對用戶數據的使用問題、用戶數據的可攜帶權問題,但數據安全問題依舊無法根治。目前《規范》只是“技術標準”,法律效力不足,要真正從技術層面,在技術可行且不影響終端和服務正常的情況下,App 應優先在用戶終端中存儲、使用所收集的個人信息。以實現服務所必需的最低合理頻率向后臺服務器發送個人信息。
以后,移動應用不能過度收集用戶信息,個人隱私也不再裸奔。
